一、弱口令【文末福利】产生原因与个人习惯和安全意识相关为了避免忘记密码使用一个非常容易记住 的密码或者是直接采用系统的默认密码等。危害通过弱口令攻击者可以进入后台修改资料进入金融系统盗取钱财进入OA系统可以获取企业内部资料进入监控系统可以进行实时监控等等。防御设置密码通常遵循以下原则1不使用空口令或系统缺省的口令为典型的弱口令2口令长度不小于8 个字符3口令不应该为连续的某个字符例如AAAAAAAA或重复某些字符的组合例如tzf.tzf.。4口令应该为以下四类字符的组合大写字母(A-Z)、小写字母(a-z)、数字(0-9)和特殊字符。每类字符至少包含一个。如果某类字符只 包含一个那么该字符不应为首字符或尾字符。5口令中不应包含特殊内容如本人、父母、子女和配偶的姓名和出生日期、纪念日期、登录名、E-mail 地址等等与本人有关 的信息以及字典中的单词。6口令不应该为用数字或符号代替某些字母的单词。7口令应该易记且可以快速输入防止他人从你身后看到你的输入。8至少90 天内更换一次口令防止未被发现的入侵者继续使用该口令。二、SQL注入产生原因当Web应用向后台数据库传递SQL语句进行数据库操作时。如果对用户输入的参数没有经过严格的过滤处理那么攻击者就可以构造特殊的SQL语句直接输入数据库引擎执行获取或 修改数据库中的数据。本质把用户输入的数据当做代码来执行违背了 “数据与代码分离”的原则。SQL注入的两个关键点1、用户能控制输入的内容2、Web应用把用户输入的内容带入到数据库中执行危害盗取网站的敏感信息绕过网站后台认证后台登陆语句SELECT*FROMadminWHEREUsernameuser’andPassword‘pass’万能密码‘or‘1’‘1’#借助SQL注入漏洞提权获取系统权限读取文件信防御1采用sql语句预编译和绑定变量 #{name}其原因就是采用了PrepareStatement就会将SQL语句“select id,name from user where id?”预先编译好也就是SQL引擎会预先进行语法分析产生语法树生成执行计划也就是说后面你输入的参数无论你输入的是什么都不会影响该SQL语句的语法结构了。因为语法分析已经完成了而语法分析主要是分析SQL命令比如select、from、where、and、or、order by等等。所以即使你后面输入了这些SQL命令也不会被当成SQL命令来执行了因为这些SQL命令的执行必须先通过语法分析生成执行计划既然语法分析已经完成已经预编译过了那么后面输入的参数是绝对不可能作为SQL命令来执行的只会被当成字符串字面值参数。2使用正则表达式过滤传入的参数3过滤字符串如insert、select、update、and、or等三、文件上传原理在文件上传的功能处若服务端未对上传的文件进行严格验证和过滤导致攻击者上传恶意的脚本文件时就有可能获取执行服务端命令的能力称为文件上传漏洞。成因服务器的错误配置开源编码器漏洞本地上传上限制不严格被绕过服务器端过滤不严格被绕过危害上传恶意文件getshell控制服务器绕过方式防御白名单判断文件后缀是否合法文件上传的目录设置为不可执行判断文件类型使用随机数改写文件名和文件路径单独设置文件服务器的域名使用安全设备防御四、XSS跨站脚本攻击原理**XSSCross Site Scripting**跨站脚本攻击为了不和层叠样式表Cascading Style Sheets的缩写CSS混合所以改名为XSS**XSS原理**攻击者在网页中嵌入客户端脚本通常是JavaScript的恶意脚本当用户使用浏览器加载被嵌入恶意代码的网页时恶意脚本代码就会在用户的浏览器执行造成跨站脚本的攻击危害盗取Cookie网络钓鱼植马挖矿刷流量劫持后台篡改页面内网扫描制造蠕虫等防御对用户的输入进行合理验证对特殊字符如 、、 ’ 、 ”等以及五、CSRF跨站请求伪造 原理CSRFCross-Site Request Forgery中文名称跨站请求伪造 原理攻击者利用目标用户的身份执行某些非法的操作 跨站点的请求请求的来源可以是非本站 请求是伪造的请求的发出不是用户的本意。危害篡改目标站点上的用户数据盗取用户隐私数据作为其他攻击的辅助攻击手法传播 CSRF 蠕虫防御检查HTTP Referer是否是同域限制Session Cookie的生命周期减少被攻击的概率使用验证码使用一次性token六、SSRF服务器端请求伪造原理SSRF(Server-Side Request Forgery服务器端请求伪造该漏洞通常由攻击者构造的请求传递给服务端服务器端对传回的请求未作特殊处理直接执行而造成的。危害扫描内网主机、端口向内部任意主机的任意端口发送精心构造的payload攻击内网的Web应用读取任意文件拒绝服务攻击防御统一错误信息避免用户根据错误信息来判断远程服务器的端口状态限制请求的端口为http的常用端口比如80、443、8080等禁用不需要的协议仅允许http和https根据请求需求可以将特定域名加入白名单拒绝白名单之外的请求后台代码对请求来源进行验证七、XXEXML外部实体注入原理XXE漏洞全称为 XML External Entity Injection即XML外部实体注入。XXE漏洞发生在应用程序解析XML输入时没有禁止外部实体的加载 导致用户可以控制外部的加载文件造成XXE漏洞。危害任意文件读取内网端口探测拒绝服务攻击钓鱼防御1、使用开发语言提供的禁用外部实体的方法PHPlibxml_disable_entity_loader(true);javaDocumentBuilderFactory dbf DocumentBuilderFactory.newInstance(); dbf.setExpandEntityReferences(false);Pythonfrom lxml import etree xmlData etree.parse(xmlSource,etree.XMLParser(resolve_entitiesFalse))2、过滤用户提交的XML数据过滤关键词!DOCTYPE、!ENTITY SYSTEM、PUBLICRCERCERemot Command/Code Execute远程命令/代码执行远程命令执行用户可以控制系统命令执行函数的参数也称命令注入远程代码执行用户输入的参数可以作为代码执行也称代码注入命令执行可以看作是一种特殊的代码执行代码执行相对会更加灵活八、远程代码执行漏洞原理应用程序中有时会调用一些系统命令函数比如php中使用system、exec、shell_exec等 函数可以执行系统命令当攻击者可以控制这些函数中的参数时就可以将恶意命令拼接 到正常命令中从而造成命令执行攻击。命令执行漏洞属于高危漏洞之一也可以算是一种特殊的代码执行原因用户可以控制输入的内容用户输入的内容被当作命令执行防御方式尽量不要使用命令执行函数客户端提交的变量在进入执行命令函数方法之前一定要做好过 滤对敏感字符进行转义在使用动态函数之前确保使用的函数是指定的函数之一对PHP语言来说不能完全控制的危险函数最好不要使用九、反序列化漏洞原理原因是程序没有对用户输入的反序列化字符串进行检测导致反序列化过程可以被恶意控制进而造成代码执行、getshell等一系列安全问题。危害不安全的反序列化主要造成的危害是远程代码执行如果无法远程代码执行也可能导致权限提升、任意文件读取、拒绝服务攻击等防御方式应该尽量避免用户输入反序列化的参数如果确实需要对不受信任的数据源进行反序列化需要确保数据未被篡改比如使用数字签名来检查数据的完整性严格控制反序列化相关函数的参数坚持用户所输入的信息都是不可靠的原则对于反序列化后的变量内容进行检查以确定内容没有被污染做好代码审计相关工作提高开发人员的安全意识最后接下来我将给各位同学划分一张学习计划表e题外话初入计算机行业的人或者大学计算机相关专业毕业生很多因缺少实战经验就业处处碰壁。下面我们来看两组数据2023届全国高校毕业生预计达到1158万人就业形势严峻国家网络安全宣传周公布的数据显示到2027年我国网络安全人员缺口将达327万。一方面是每年应届毕业生就业形势严峻一方面是网络安全人才百万缺口。6月9日麦可思研究2023年版就业蓝皮书包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》正式发布。2022届大学毕业生月收入较高的前10个专业本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中本科计算机类专业起薪与2021届基本持平高职自动化类月收入增长明显2022届反超铁道运输类专业5295元排在第一位。具体看专业2022届本科月收入较高的专业是信息安全7579元。对比2018届电子科学与技术、自动化等与人工智能相关的本科专业表现不俗较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。网络安全行业特点1、就业薪资非常高涨薪快 2022年猎聘网发布网络安全行业就业薪资行业最高人均33.77万2、人才缺口大就业机会多2019年9月18日《中华人民共和国中央人民政府》官方网站发表我国网络空间安全人才 需求140万人而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W现在从事网络安全行业的从业人员只有10W人。行业发展空间大岗位非常多网络安全行业产业以来随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…职业增值潜力大网络安全专业具有很强的技术特性尤其是掌握工作中的核心网络架构、安全技术在职业发展上具有不可替代的竞争优势。随着个人能力的不断提升所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟升值空间一路看涨这也是为什么受大家欢迎的主要原因。从某种程度来讲在网络安全领域跟医生职业一样越老越吃香因为技术愈加成熟自然工作会受到重视升职加薪则是水到渠成之事。学习计划那么问题又来了作为萌新小白我应该先学什么再学什么既然你都问的这么直白了我就告诉你零基础应该从什么开始学起阶段一初级网络安全工程师我将给大家安排一个为期1个月的网络安全初级计划当你学完后你基本可以从事一份网络安全相关的工作比如渗透测试、Web渗透、安全服务、安全分析等岗位其中如果你等保模块学的好还可以从事等保工程师。综合薪资区间6k~15k1、网络安全理论知识2天①了解行业相关背景前景确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。非常重要2、渗透测试基础1周①渗透测试的流程、分类、标准②信息收集技术主动/被动信息搜集、Nmap工具、Google Hacking③漏洞扫描、漏洞利用、原理利用方法、工具MSF、绕过IDS和反病毒侦察④主机攻防演练MS17-010、MS08-067、MS10-046、MS12-20等3、操作系统基础1周①Windows系统常见功能和命令②Kali Linux系统常见功能和命令③操作系统安全系统入侵排查/系统加固基础4、计算机网络基础1周①计算机网络基础、协议和架构②网络通信原理、OSI模型、数据转发流程③常见协议解析HTTP、TCP/IP、ARP等④网络攻击技术与网络安全防御技术⑤Web漏洞原理与防御主动/被动攻击、DDOS攻击、CVE漏洞复现5、数据库基础操作2天①数据库基础②SQL语言基础③数据库安全加固6、Web渗透1周①HTML、CSS和JavaScript简介②OWASP Top10③Web漏洞扫描工具④Web渗透工具Nmap、BurpSuite、SQLMap、其他菜刀、漏扫等那么到此为止已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗黑客/网络安全学习路线今天只要你给我的文章点赞我私藏的网安学习资料一样免费共享给你们来看看有哪些东西。网络安全学习资源分享:下面给大家分享一份2025最新版的网络安全学习路线资料帮助新人小白更系统、更快速的学习黑客技术一、2025最新网络安全学习路线一个明确的学习路线可以帮助新人了解从哪里开始按照什么顺序学习以及需要掌握哪些知识点。对于从来没有接触过网络安全的同学我们帮你准备了详细的学习成长路线图学习规划。可以说是最科学最系统的学习路线大家跟着这个大的方向学习准没问题。**读者福利 |**CSDN大礼包《网络安全入门进阶学习资源包》免费分享**安全链接放心点击**![](https://i-blog.csdnimg.cn/img_convert/a6502ab41b1a86132b9ebb5aab9a2cdc.jpeg)我们把学习路线分成L1到L4四个阶段一步步带你从入门到进阶从理论到实战。L1级别:网络安全的基础入门L1阶段我们会去了解计算机网络的基础知识以及网络安全在行业的应用和分析学习理解安全基础的核心原理关键技术以及PHP编程基础通过证书考试可以获得NISP/CISP。可就业安全运维工程师、等保测评工程师。L2级别网络安全的技术进阶L2阶段我们会去学习渗透测试包括情报收集、弱口令与口令爆破以及各大类型漏洞还有漏洞挖掘和安全检查项目可参加CISP-PTE证书考试。L3级别网络安全的高阶提升L3阶段我们会去学习反序列漏洞、RCE漏洞也会学习到内网渗透实战、靶场实战和技术提取技术系统学习Python编程和实战。参加CISP-PTE考试。L4级别网络安全的项目实战L4阶段我们会更加深入进行实战训练包括代码审计、应急响应、红蓝对抗以及SRC的挖掘技术。并学习CTF夺旗赛的要点和刷题整个网络安全学习路线L1主要是对计算机网络安全的理论基础的一个学习掌握而L3 L4更多的是通过项目实战来掌握核心技术针对以上网安的学习路线我们也整理了对应的学习视频教程和配套的学习资料。二、技术文档和经典PDF书籍书籍和学习文档资料是学习网络安全过程中必不可少的我自己整理技术文档包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点电子书也有200多本书籍含电子版PDF三、网络安全视频教程对于很多自学或者没有基础的同学来说书籍这些纯文字类的学习教材会觉得比较晦涩难以理解因此我们提供了丰富的网安视频教程以动态、形象的方式展示技术概念帮助你更快、更轻松地掌握核心知识。网上虽然也有很多的学习资源但基本上都残缺不全的这是我自己录的网安视频教程上面路线图的每一个知识点我都有配套的视频讲解。四、网络安全护网行动/CTF比赛学以致用当你的理论知识积累到一定程度就需要通过项目实战在实际操作中检验和巩固你所学到的知识同时为你找工作和职业发展打下坚实的基础。五、网络安全工具包、面试题和源码“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等感兴趣的同学不容错过。面试不仅是技术的较量更需要充分的准备。在你已经掌握了技术之后就需要开始准备面试我们将提供精心整理的网安面试题库涵盖当前面试中可能遇到的各种技术问题让你在面试中游刃有余。如果你是要找网安方面的工作它们绝对能帮你大忙。这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的如果大家有好的题目或者好的见解欢迎分享。参考解析深信服官网、奇安信官网、Freebuf、csdn等内容特点条理清晰含图像化表示更加易懂。内容概要包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…